访问控制策略自动部署系统设计与实现

【摘要】：随着计算机网络规模的日益扩大,网络安全管理越来越重要。访问控制列表作为一种简单、高效的网络安全管理技术,在实际的网络安全管理中应用越来越广泛。传统的访问控制列表需要管理员手动登陆到相应设备通过命令行界面配置,工作量大且繁琐,这种方式已经难以满足当前网络的需求。访问控制策略自动部署技术将管理任务的重点从设备转移到业务上,日益受到人们的重视。如何对访问控制策略进行统一描述、冲突检测与消解,是亟待解决的问题。首先,论文在对当前策略自动部署体系结构进行深入分析比较的基础上,结合访问控制列表的特点,提出了基于XML的访问控制策略信息模型。该模型通过对多家厂商的路由器设备进行分析综合,提取出其访问控制列表配置所需信息的公共部分,用轻量级的网络语言XML进行统一描述与传输,同时使用Perl脚本进行命令翻译。模型屏蔽了底层设备之间的差异,增加了系统的可扩展性与灵活性,为策略自动部署提供了很好的理论依据与技术支持。其次,论文针对传统访问控制策略冲突检测与消解算法复杂度高、性能差的问题,提出了基于整数集合的访问控制策略冲突检测与消解优化算法。该算法将访问控制策略映射到整数集合,通过集合运算对策略进行冲突检测与消解。在对多条策略进行冲突检测时,采用逐条加入的思想,冲突检测与消解同时进行。分析表明,与传统算法相比,该算法的复杂度降低并且性能得到了有效的提高。最后,论文设计并实现了访问控制策略自动部署系统。系统设计采用B/S模式,结合了XML访问控制策略信息模型和策略冲突检测与消解优化算法,并通过实验对系统各模块进行了测试,测试结果表明系统能够对访问控制策略进行自动部署、冲突检测消解与验证。
【关键词】：访问控制 策略自动部署 XML 冲突检测与消解
【学位级别】：硕士
【学位授予年份】：2013
【分类号】：TP393.08